Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Tamara Dziełakowska Sędziowie: Sędzia NSA Mirosław Wincenciak Sędzia del. WSA Hanna Knysiak-Sudyka (spr.) Protokolant: asystent sędziego Adam Płusa po rozpoznaniu w dniu 28 lutego 2024 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Burmistrza [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19 w sprawie ze skargi Burmistrza [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2019 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Burmistrza [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 480 (czterysta osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 26 sierpnia 2020 r. sygn. akt II SA/Wa 2826/19 oddalił skargę Burmistrza Aleksandrowa Kujawskiego na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 18 października 2019 r. nr ZSPU.421.3.2019 w przedmiocie przetwarzania danych osobowych.

Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.

W dniach od 28 stycznia do 1 lutego 2019 r. upoważnieni przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ") kontrolujący przeprowadzili u Burmistrza Aleksandrowa Kujawskiego (dalej: "Burmistrz", "skarżący") kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2, zwane dalej: "rozporządzenie 2016/679" "RODO") oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 z późn. zm., zwana dalej: "u.o.d.o."). Zakresem kontroli objęty został sposób przetwarzania danych osobowych przez Burmistrza w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych.

W toku kontroli odebrano od pracowników Urzędu Miejskiego w Aleksandrowie Kujawskim ustne wyjaśnienia oraz dokonano oględzin systemów informatycznych, służących do przetwarzania danych osobowych i oględzin strony BIP. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Burmistrza. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Burmistrz, jako administrator, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na:

1) udostępnianiu danych osobowych na rzecz T. Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: W. S.A. z siedzibą w G. oraz C. S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umowy powierzenia danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w Aleksandrowie Kujawskim;

2) braku procedur wewnętrznych, dotyczących przeglądu zasobów opublikowanych w BIP pod kątem zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania, w wyniku czego na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim publikowane są dokumenty zawierające dane osobowe przez okres dłuższy niż wynika to z przepisów prawa;

3) niewdrożeniu odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw lub wolności osób fizycznych w związku z przechowywaniem nagrania sesji wyłącznie na serwerach [...], bez wykonywania kopii nagrań sesji Rady Miejskiej Aleksandrowa Kujawskiego, znajdujących się we własnych zasobach urzędu;

4) nieprzeprowadzeniu analizy ryzyka w związku z korzystaniem przez Burmistrza z kanału [...] w celu realizacji obowiązku prawnego, wynikającego z art. 8 ust. 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429 z późn. zm., zwana dalej: "u.d.i.p.");

5) niewskazaniu w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miejskiego w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazaniu dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczone przechowywania.

W dniu 10 czerwca 2019 r. Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Burmistrz pismem z dnia 17 czerwca 2019 r. poinformował organ, że w zakresie uchybień dotyczących okresu publikacji dokumentów w BIP skierował wniosek do Ministra Cyfryzacji o interpretację przepisów ustawy o dostępie do informacji publicznej oraz wniósł o zawieszenie postępowania do czasu otrzymania ww. interpretacji. Wskazał, że z ustawy o dostępie do informacji publicznej w sposób jednoznaczny wynika, że udostępnianie danych dotyczy osób sprawujących władzę, a nie tych, którzy sprawowali władzę. W związku z tym mogą być udostępniane w BIP oświadczenia majątkowe tylko radnych sprawujących władzę w okresie 5 lat, a zatem w trakcie trwania kadencji, a po tym okresie powinny być usuwane z BIP i przechowywane w formie papierowej, przez okres 6 lat w stosunku do terminów od daty ich złożenia oraz udostępniania na wniosek, zgodnie z zasadą jawności.

Decyzją znak ZSPU.421.3.2019 z dnia 18 października 2019 r. PUODO, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm., zwana dalej: "k.p.a."), art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 u.o.d.o. oraz art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. d) oraz i) w zw. z art. 5 ust. 1 lit. a), e) i f) oraz ust. 2, art. 24 ust. 1 i 2, art. 28, art. 30 ust. 1 lit. d) i f) oraz art. 32, a także art. 83 ust. 1 - 3 rozporządzenia 2016/679, stwierdził naruszenie przez Burmistrza przepisów:

a) art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady zgodności z prawem i zasady poufności oraz art. 28 ust. 3 rozporządzenia 2016/679 poprzez udostępnianie danych osobowych na rzecz T. Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: W. S.A. z siedzibą w G. oraz C. S.A. z siedzibą w K. bez podstawy prawnej, tj. bez uprzedniego zawarcia z ww. podmiotami umów powierzenia danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w Aleksandrowie Kujawskim,

b) art. 5 ust. 1 lit. e) w związku z art. 5 ust. 2, tj. zasady ograniczenia przechowywania oraz art. 24 rozporządzenia 2016/679 poprzez brak odpowiednich polityk dotyczących przetwarzania danych osobowych w BIP Urzędu Miejskiego w Aleksandrowie Kujawskim pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych,

c) art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 rozporządzenia 2016/679 tj. zasady integralności i poufności, zasady prawidłowości, oraz art. 24 rozporządzenia 2016/679 poprzez nieprzeprowadzenie analizy ryzyka związanego z korzystaniem przez Burmistrza z kanału [...] w celu transmisji nagrań z obrad Rady Miasta Aleksandrowa Kujawskiego,

d) art. 5 ust. 1 lit. f) w związku z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady integralności i poufności, oraz art. 32 rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań sesji Rady Miasta Aleksandrowa Kujawskiego wyłącznie na serwerach [...], bez wykonywania i przechowywania kopii zapasowych tych nagrań w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim,

e) art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady rozliczalności oraz art. 30 ust. 1 lit. d) oraz f) rozporządzenia 2016/679 poprzez niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie BIP Urzędu Miasta w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania,

i nakazał Burmistrzowi dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, w terminie 60 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, poprzez:

1) zaprzestanie udostępniania danych osobowych na rzecz T. Sp. z o.o. z siedzibą w T. oraz na rzecz konsorcjum podmiotów: W. S.A. z siedzibą w Gliwicach oraz C. S.A. z siedzibą w K., bez podstawy prawnej, tj. bez uprzedniego zawarcia umów powierzenia danych osobowych z ww. podmiotami, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, w związku z prowadzeniem strony internetowej BIP Urzędu Miejskiego w Aleksandrowie Kujawskim,

2) wdrożenie polityk: - określających okresy przetwarzania danych w BIP Urzędu Miejskiego w Aleksandrowie Kujawskim zgodne z przepisami prawa lub niezbędne do realizacji celów, dla których dane są przetwarzane, - zapewniających przestrzeganie terminów usuwania danych,

3) przeprowadzenie analizy ryzyka w związku z publikacją nagrań sesji rady miejskiej i wdrożenie odpowiednich środków organizacyjnych i technicznych w związku z przetwarzaniem danych osobowych na kanale [...] w związku z transmisją nagrań sesji rady miejskiej oraz przechowywaniem nagrań na serwerach [...],

4) wdrożenie odpowiednich środków organizacyjnych i technicznych mających na celu zabezpieczenie danych osób fizycznych pochodzących z nagrań sesji Rady Miasta Aleksandrowa Kujawskiego poprzez zapewnienie dostępności kopii zapasowych w zasobach własnych Urzędu Miejskiego w Aleksandrowie Kujawskim,

5) ujęcie w rejestrze czynności przetwarzania danych osobowych, dla czynności przetwarzania związanych z prowadzeniem BIP, informacji: a) o wszystkich odbiorcach danych, którym dane zostały lub zostaną ujawnione, zgodnie z art. 30 ust. 1 lit d) rozporządzenia 2016/679, b) o planowanych terminach usunięcia danych, zgodnie z art. 30 ust 1 lit f) rozporządzenia 2016/679.

za naruszenie przepisów art. 5 ust. 1 lit. a), e) i f), art. 5 ust. 2, art. 28, art. 30 ust. 1 lit d) i f) oraz art. 32 rozporządzenia 2016/679 nałożył na Burmistrza karę pieniężną w kwocie [...] zł.

Na powyższą decyzję skarżący wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W odpowiedzi na skargę organ wniósł o oddalenie skargi, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie w powołanym wyżej wyroku oddalił skargę Burmistrza Aleksandrowa Kujawskiego uznając, że zaskarżona decyzja została wydana zgodnie z prawem.

Uzasadniając swoje stanowisko Sąd I instancji wskazał, że przeprowadzając kontrolę zaskarżonego rozstrzygnięcia nie stwierdził, aby Prezes UODO wydając decyzję z dnia 18 października 2019 r. naruszył przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy, czy też przepisy postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy.

W odniesieniu do pierwszego i najdalej idącego z zarzutów, przywołanego w skardze, polegającego na naruszeniu prawa materialnego tj. art. 2 ust. 2 lit. a) rozporządzenia 2016/679 przez jego niewłaściwe zastosowanie w związku z art. 1 ust. 1 w związku z art. 168 u.o.d.o., co doprowadziło do wydania zaskarżonej decyzji stwierdzającej naruszenie art. 5 rozporządzenia 2016/679 poza zakresem jego zastosowania, a w konsekwencji bezpodstawne nałożenie administracyjnej kary pieniężnej, Sąd zarzut uznał za bezzasadny.

Zdaniem WSA w Warszawie całkowicie nietrafne są podnoszone przez skarżącego zarzuty, iż decyzja narusza przepisy rozporządzenia 2016/679, wobec zastosowania ich do działalności nieobjętej przepisami Unii Europejskiej. Wyłączenia, określone w art. 2 ust. 2 lit. a rozporządzenia 2016/679, mają charakter wyjątkowy i nie mają zastosowania w sprawie niniejszej.

W niniejszej sprawie Sąd I instancji wskazał, że skarżący, jako administrator danych, na którym spoczywał ciężar dowodu nie wykazał, że przestrzega wszystkich zasad przetwarzania danych osobowych. Nadto Sąd I instancji całkowicie podzielił dokonaną przez organ ocenę poszczególnych naruszeń przepisów prawa materialnego.

Zdaniem Sądu I instancji nie zasługiwał na uwzględnienie zarzut skargi, jakoby organ naruszył przepis prawa materialnego tj. art. 28 ust. 3 rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie. Brak zawarcia przez skarżącego umów z podmiotami, które przetwarzały dane osobowe, których administratorem był skarżący, obciąża administratora danych osobowych, który - mimo spoczywającego na nim obowiązku - nie przestrzegał przepisów o ochronie danych osobowych. Organ prawidłowo zatem ocenił tę sytuację pod kątem materialnoprawnym, przyjmując naruszenie art. 5 ust. 1 lit. a) oraz f) w zw. z art. 5 ust. 2 i art. 28 ust. 3 rozporządzenia 2016/679.

Również prawidłowo organ ocenił naruszenie art. 5 ust. 1 lit. e) w związku z art. 5 ust. 2, tj. zasady ograniczenia przechowywania oraz art. 24 rozporządzenia 2016/679 poprzez brak odpowiednich polityk, dotyczących przetwarzania danych osobowych w BIP Urzędu Miejskiego w Aleksandrowie Kujawskim pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych. Zasada określona mianem "ograniczenia przechowywania", określona w art. 5 ust 1 lit. 3 rozporządzenia 2016/679 stanowi, iż "dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane".

Sąd I instancji podkreślił, że zarzut stawiany w skardze do Sądu, dotyczący naruszenia prawa materialnego, tj. art. 5 ust 1 lit. e w zw. z art. 5 ust. 2 oraz art. 24 rozporządzenia 2016/679 i art. 11b ust. 1 ustawy o samorządzie gminnym i art. 8 k.p.a., poprzez ich niewłaściwe zastosowanie, sprowadza się właściwie do tego, że okres na jaki mają (mogą) być publikowane dane w Biuletynie Informacji Publicznej nie został określony, przez co zdaniem skarżącego istnieje luka prawna. Zarzut ten jest nietrafny: pomimo, że nie ma wprost wskazanych okresów maksymalnych, po których upływie dane osobowe powinny zostać usunięte, z zasady ograniczenia przechowania wynika, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Administrator danych osobowych określa "niezbędny cel" przez wdrożenie odpowiedniej procedury, o której mowa w przepisie art. 24 ust. 1 rozporządzenia 2016/679. Z uwagi na brak działań skarżącego w opisanym kierunku, Sąd nie dopatrzył się w niniejszej sprawie naruszenia przez organ przepisu art. 8 k.p.a.

Skarżący zarzucił naruszenie prawa materialnego tj. art. 5 ust. 1 lit. f w zw. z art. 5 ust 2 i art. 24 rozporządzenia 2016/679, poprzez ich niewłaściwe zastosowanie, przez to, że nieprzeprowadzenie analizy ryzyka nie może świadczyć o tym, że administrator danych osobowych naruszył przepisy rozporządzenia, ponieważ przeprowadzenie takiej analizy jest fakultatywne i nie może świadczyć o tym, że nie wdrożono odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia 2016/679. Konieczność wprowadzenia takiej procedury należy analizować pod kątem konkretnego przypadku w konkretnej sprawie: w niniejszym postępowaniu administrator danych nie wykazał, że brak przeprowadzenia analizy ryzyka jest zbędny, Sąd nie miał wątpliwości, że wdrożone procedury nie zapewniły w pełni bezpieczeństwa danych osobowych. W ocenie Sądu wdrożenie takiej analizy zminimalizowałoby ryzyko powstania uchybień w procesie przetwarzania danych osobowych, pod tym właśnie kątem należy rozpatrywać ewentualną konieczność tworzenia odpowiedniej procedury systemu bezpieczeństwa i ochrony danych osobowych.

Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że z chwilą zakończenia nagrania było ono zapisane jedynie na stronie [...], u skarżącego nie pozostawała żadna kopia zapasowa, zdaniem Sądu naruszono w sposób jednoznaczny i ewidentny przepisy art. 32 ust. 1 lit. b i c rozporządzenia 2016/679. Ewentualna awaria techniczna serwisu internetowego może spowodować utratę nagrania i uniemożliwić administratorowi danych osobowych przywrócenie ich dostępności, w efekcie podmiot zobowiązany nie będzie mógł zapewnić poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Dlatego w ocenie Sądu organ w sposób prawidłowy i zgodny z obowiązującymi przepisami wykazał naruszenie przez skarżącego przepisów znajdujących się w tym akapicie. Zupełnie nietrafiony jest zarzut skarżącego dotyczący naruszenia prawa materialnego tj. art. 5 ust. 1 pkt f w zw. z art. 5 ust. 2 i art. 32 rozporządzenia 2016/679. Jak już była o tym mowa, czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka czy charakteru chronionych danych osobowych. Bez wątpienia środki podejmowane przez skarżącego nie zapewniły bezpieczeństwa, co należycie wykazał organ, a podnoszona przez skarżącego argumentacja w tym przedmiocie stanowi jedynie polemikę ze stanem faktycznym, ustalonym w ocenie Sądu w sposób prawidłowy przez organ.

Ostatnimi z przepisów, których prawidłowość zastosowania przez organ badał Sąd w przedmiotowej sprawie, są zarzucane w skardze naruszenia przepisów art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady rozliczalności oraz art. 30 ust. 1 lit. d) oraz f) rozporządzenia 2016/679. Zdaniem Sądu organ prawidłowo zinterpretował przepisy ustawy o samorządzie gminnym oraz ustawy o dostępie do informacji publicznej.

Sąd I instancji ocenił, mając na uwadze charakter dokonanych naruszeń oraz ilość przepisów prawa materialnego w zakresie ochrony danych osobowych, których naruszenia dopuścił się skarżący, że kara pieniężna w wysokości [...] zł jest karą adekwatną, proporcjonalną i nałożona została w sposób prawidłowy. Organ należycie uzasadnił wymiar kary, biorąc pod uwagę bardzo długi czas trwania naruszeń, umyślny ich charakter, wysoki stopień odpowiedzialności administratora oraz brak jego współpracy z organem po wszczęciu postępowania. Maksymalna kara za stwierdzone naruszenia wynosi 100 000 zł, na skarżącego nałożono tylko [...]% możliwej kary, co pozwala ocenić ją jako skuteczną, proporcjonalną i odstraszającą. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm., zwana dalej: "p.p.s.a.").

Skargę kasacyjną od tego wyroku wniósł Burmistrz Aleksandrowa Kujawskiego, zaskarżając wyrok w całości i zarzucając mu:

1. naruszenie przepisów prawa materialnego, tj. art. 2 ust. 2 lit. a RODO w zw. z art. 42 ust. 1 Konstytucji RP poprzez błędną wykładnię, a w konsekwencji uznanie, iż przepisy RODO znajdą zastosowanie w przedmiotowym stanie faktycznym, podczas gdy rozszerzenie przez WSA zakresu zastosowania przepisów RODO na kwestie przetwarzania danych osobowych w kontekście dostępu do informacji publicznej było bezpodstawne i nieuzasadnione, w szczególności stanowiło nieuprawnioną wykładnię rozszerzającą;

2. naruszenie przepisów prawa materialnego, tj. art. 4 pkt 7 RODO w zw. z art. 5, 24, 28 ust. 3, 30 i 83 RODO i w zw. z art. 133 p.p.s.a. poprzez jego niewłaściwe zastosowanie polegające na bezpodstawnym uznaniu, iż skarżący jest administratorem danych osobowych, co w konsekwencji doprowadziło do bezzasadnego wniosku, iż na skarżącym ciążyły określone obowiązki w stosunku do podmiotów trzecich, podczas gdy skarżący nie miał wpływu na system działania Biuletynu Informacji Publicznej w całym Województwie Kujawsko-Pomorskim, który został zorganizowany przez województwo samorządowe, a nie przez skarżącego, jak również skarżący nie miał wpływu na uczestnictwo w tym procesie podmiotów trzecich. Konsekwencją powyższego było nałożenie na skarżącego kary mimo braku do tego podstaw;

3. naruszenie przepisów prawa materialnego, tj. art. 83 ust. 1 i 2 RODO w zw. z art. 102 ust. 1 lit. 1 u.o.d.o. poprzez jego błędne zastosowanie, a w konsekwencji bezpodstawne uznanie, iż zasądzona na rzecz skarżącego kara jest proporcjonalna oraz spełni określone w RODO cele, podczas gdy kara ta została nałożona w oderwaniu od dyrektyw wymiaru kary określonych w przepisach RODO;

4. naruszenie przepisów prawa materialnego, tj. art. 30 ust. 1 lit. d RODO poprzez jego niewłaściwe zastosowanie skutkujące uznaniem w sposób wadliwy, że stan faktyczny, tj. brak wskazania konkretnych odbiorców danych w rejestrze czynności przetwarzania odpowiada hipotezie zawartej w normie prawnej, podczas gdy w przepisie tym znajduje się pojęcie "kategorii odbiorców", zatem brak jest obowiązku prawnego wymienienia nazwy wszystkich odbiorców danych, co skutkowało błędnym uznaniem, że skarżący dopuścił się naruszenia ww. przepisu;

5. naruszenie przepisów prawa materialnego, tj. art. 30 ust. 1 lit. f RODO poprzez niewłaściwe zastosowanie skutkujące uznaniem, że skarżący naruszył przepisy o prowadzeniu rejestru poprzez niewskazanie planowego terminu usunięcia poszczególnych kategorii danych, podczas gdy skarżący wskazał w rejestrze czynności przetwarzania planowane terminy usunięcia danych zawartych w oświadczeniach majątkowych, tym samym nie naruszył normy zawartej w ww. przepisie;

6. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 141 § 4 p.p.s.a. w związku z art. 30 ust. 1 lit. d oraz lit. f RODO poprzez brak wskazania przez WSA w uzasadnieniu swojego wyroku stanowiska co do stanu faktycznego przyjętego za podstawę rozstrzygnięcia w zakresie naruszenia obowiązków związanych z prowadzeniem rejestru czynności przetwarzania danych osobowych przez skarżącego, w szczególności z uzasadnienia zaskarżonego wyroku nie wynika, która hipoteza została naruszona: czy art. 30 ust. 1 lit. d RODO czy też art. 30 ust. 1 lit. f RODO, co w konsekwencji doprowadziło do naruszenia art. 83 ust. 2 RODO poprzez orzeczenie kary za naruszenie dwóch obowiązków, podczas gdy z uzasadnienia nie wynika, w jaki sposób to zostało stwierdzone oraz które obowiązki zostały naruszone i w jaki sposób;

7. naruszenie prawa materialnego, tj. art. 5 ust. 1 lit. e w zw. z art. 24 RODO poprzez jego błędne zastosowanie, a w konsekwencji stwierdzenie naruszenia przez skarżącego obowiązku przechowywania danych osobowych przez okres dłuższy niż dopuszczalny, podczas gdy brak jest w RODO wprost określonego okresu, przez jaki wskazane dane mogą być przechowywane, co w konsekwencji doprowadziło do niezasadnego nałożenia kary pieniężnej na skarżącego mimo faktu, iż art. 24 ust. 2 nie może być samodzielną podstawą nałożenia takiej kary;

8. naruszenie prawa materialnego, tj. art. 24 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO poprzez ich błędne zastosowanie, a w konsekwencji uznanie, iż w stanie faktycznym przedmiotowej sprawy doszło do braku wdrożenia odpowiednich procedur w celu zapewnienia bezpieczeństwa danych osobowych, podczas gdy RODO nie przewiduje katalogu konkretnych czynności, które zapewniają bezpieczeństwo danych osobowych, zaś zastosowane procedury przez skarżącego są zgodne z wymogami RODO, jak również z zasadą proporcjonalności;

9. naruszenie przepisów postępowania, tj. art. 141 § 4 p.p.s.a., które miało istotny wpływ na wynik sprawy, poprzez brak wskazania w uzasadnieniu wyroku przez WSA podstawy prawnej rozstrzygnięcia, jak i jej wyjaśnienia w zakresie, w jakim Sąd:

a. przyjął naruszenie obowiązków związanych z prowadzeniem rejestru czynności przetwarzania danych nie wskazując przy tym, czy Sąd przyjął naruszenie tylko jednego z obowiązków czy też dwóch, co w znaczącym stopniu uniemożliwia skarżącemu odniesienie się do argumentacji zastosowanej przez Sąd I instancji ze względu na brak konkretnych rozstrzygnięć w zakresie podstawy prawnej orzeczenia przez WSA;

b. uznał, iż skarżący naruszył przepisy dotyczące przechowywania danych osobowych przez okres dłuższy niż dopuszczalny, na co wskazuje podstawa prawna nałożonej kary, podczas gdy w uzasadnieniu wyroku WSA odnosi się do obowiązków administratora danych osobowych i środków jakie ma on wdrożyć, pomijając przy tym uzasadnienie w zakresie zastosowanej podstawy prawnej;

c. uznał, iż "wdrożone procedury nie zapewniły w pełni bezpieczeństwa danych osobowych", pomimo braku wskazania podstawy prawnej uzasadniającej przyjęcie takiego naruszenia w stosunku do skarżącego, podczas gdy ze stanu faktycznego powyższe założenie nie wynika, jak również brak jest w RODO wskazania konkretnych czynności czy też procedur, które by zapewniały bezpieczeństwo danych. Powyższe zaś prowadzi do wniosku, iż w przypadku przyjęcia takiego założenia Sąd winien w uzasadnieniu wskazać argumenty potwierdzające brak pełnego bezpieczeństwa danych ze względu na wdrożone procedury, jak również wskazać, jakie procedury takie bezpieczeństwo w pełni by zapewniały. Tylko bowiem szczegółowe wskazanie przez Sąd poprawnego działania, które powinno być zastosowane w konkretnym stanie faktycznym wraz z jego szczegółowym uzasadnieniem, może stanowić podstawę do stwierdzenia naruszenia, ze względu na generalny charakter normy dotyczącej stosowania odpowiednich procedur w zakresie bezpieczeństwa danych osobowych;

d. uznał, że zarzut naruszenia art. 2 ust. 2 lit. a RODO jest bezpodstawny bez przeprowadzenia analizy prawnej w kontekście zarzutów stawianych w skardze braku podstaw do zastosowania RODO w odniesieniu do wykładni przepisów ustawy o dostępie do informacji publicznej, tj. poprzez brak wyczerpującego ustosunkowania się w uzasadnieniu zaskarżonego wyroku do ww. zarzutu, przez co niemożliwa jest ocena przesłanek, którymi kierował się WSA uznając, że normy określające dostęp do informacji publicznej oraz obowiązków z nich wynikających ciążących na skarżącym zdaniem Sądu mają zastosowanie w niniejszej sprawie;

e. nie ustosunkował się do zarzutu zawartego w skardze dotyczącego naruszenia art. 28 ust. 3 RODO poprzez błędne uznanie przez organ, że to na skarżącym ciążył obowiązek zawarcia umów powierzenia, podczas gdy skarżący podnosił, iż nie jest podmiotem odpowiedzialnym za zawarcie umów powierzenia, a jest nim Województwo Kujawsko-Pomorskie.

10. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 106 § 3 p.p.s.a. i art. 113 § 1 p.p.s.a. w zw. z art. 141 § 4 p.p.s.a. poprzez zaniechanie rozpoznania wszystkich dowodów wskazanych w uzasadnieniu skargi, pomimo, że dowody te miały istotne znaczenie dla sprawy, nie spowodowałyby przedłużenia postępowania, a brak rozpoznania dowodów spowodował błędne zastosowanie przepisów prawa materialnego wskutek błędnego ustalenia stanu faktycznego oraz pozbawił skarżącego możności obrony swoich praw, a co więcej WSA nie wyjaśnił przesłanek, jakimi kierował się pomijając ocenę tych dowodów.

Mając powyższe na uwadze skarżący kasacyjnie wniósł o uchylenie zaskarżonego wyroku w całości oraz przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa według norm prawem przepisanych, a także rozpoznanie skargi kasacyjnej na rozprawie.

Powyższe zarzuty rozwinięto w uzasadnieniu skargi kasacyjnej.

W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie.

Pismem z dnia 26 stycznia 2024 r. Burmistrz Aleksandrowa Kujawskiego uzupełnił uzasadnienie zarzutów podniesionych w skardze kasacyjnej.

Uzupełnienie obejmowało uzasadnienie zarzutu nr 2, tj. zarzutu naruszenia przepisów prawa materialnego, tj. art. 4 pkt 7 RODO w zw. z art. 5, 24, 28 ust 3, 30 i 83 RODO i w zw. z art. 133 p.p.s.a. Jak podniesiono w skardze kasacyjnej, to nie skarżący podejmował decyzje o celach i sposobach przetwarzania danych osobowych w ramach systemu działania Biuletynu informacji Publicznej zorganizowanego przez Województwo Kujawsko-Pomorskie. W konsekwencji powyższego skarżącemu - co umknęło uwadze Wojewódzkiego Sądu Administracyjnego - nie można przypisać winy za ew. naruszenia przepisów o ochronie danych osobowych, związane z działaniem tegoż systemu, jako że skarżący na to działanie nie miał żadnego wpływu. Tymczasem zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (wielka izba) z dnia 5 grudnia 2023 r. w sprawie C-683/21, artykuł 83 RODO należy interpretować w ten sposób, że administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4-6 tego artykułu. W niniejszej sprawie kwestia braku zawinienia po stronie skarżącego została w całości pominięta przez Sąd w skarżonym kasacyjnie wyroku, co wobec braku takowego zawinienia przesądza o naruszeniu przepisów prawa materialnego przywołanych w zarzucie nr 2.

Uzupełnienie obejmowało również uzasadnienie zarzutu nr 3, tj. zarzutu naruszenia przepisów prawa materialnego, tj. art. 83 ust 1 i 2 RODO w zw. z art. 102 ust. 1 lit 1 u.o.d.o. Zdaniem skarżącego kasacyjnie administracyjne kary pieniężne nakładane przez Prezesa UODO powinny być nakładane zgodnie z dyrektywami wskazanymi w art. 83 ust. 2 RODO. Jak wskazuje WSA w uzasadnieniu wyroku (str. 25), "[o]rgan należycie uzasadnił wymiar kary, biorąc pod uwagę bardzo długi czas trwania naruszeń, umyślny ich charakter, wysoki stopień odpowiedzialności administratora oraz brak jego współpracy z organem po wszczęciu postępowania". Tymczasem skarżącemu nie sposób przypisać umyślności w zakresie zarzucanych mu naruszeń, jako że nie miał on żadnego wpływu na przetwarzanie danych osobowych w ramach systemu działania Biuletynu Informacji Publicznej zorganizowanego przez Województwo Kujawsko-Pomorskie. Okoliczności strony podmiotowej naruszenia, tj. umyślnego albo nieumyślnego jego charakteru powinny być ustalane na podstawie obiektywnych okoliczności, nie zaś samych tylko twierdzeń naruszającego (M. Górski w: M. Sakowska-Baryła, Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018, str. 592). Zdaniem skarżącego kasacyjnie te obiektywne okoliczności zostały w całości pominięte przez Wojewódzki Sąd Administracyjny, który nie odniósł się do nich w ogóle w uzasadnieniu skarżonego kasacyjnie wyroku - a przecież wskazano w szczególności na umowy zawarte przez Województwo Kujawsko-Pomorskie z T. sp. z o. o. z siedzibą w T. oraz z konsorcjum podmiotów: W. S.A. z siedzibą w G. oraz C. SA. z siedzibą w K. Dopuszczalność nałożenia administracyjnej kary pieniężnej wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia przepisów o ochronie danych osobowych, została wreszcie potwierdzona przez TS UE w przywołanym wyżej wyroku w sprawie C-683/21 - tymczasem okoliczność ta w ogóle nie była analizowana przez Wojewódzki Sąd Administracyjny, co w ocenie skarżącego winno przesądzić o uchyleniu zaskarżonego wyroku.

Prezes Urzędu Ochrony Danych Osobowym w piśmie procesowym (data wpływu: 14.02.2024 r.) ponownie wniósł o oddalenie skargi, a także podtrzymał w całości dotychczasowe stanowisko w sprawie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny przy rozpatrywaniu sprawy na skutek wniesienia skargi kasacyjnej związany jest granicami tej skargi, a z urzędu bierze pod rozwagę tylko nieważność postępowania w wypadkach określonych w § 2, z których żaden w rozpoznawanej sprawie nie zachodzi. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego orzeczenia determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny. Sąd ten, w odróżnieniu od wojewódzkiego sądu administracyjnego, nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów postawionych w skardze kasacyjnej.

Podstawy, na których można oprzeć skargę kasacyjną, zostały określone w art.174 p.p.s.a. Przepis art. 174 pkt 1 p.p.s.a. przewiduje dwie postacie naruszenia prawa materialnego, a mianowicie błędną jego wykładnię lub niewłaściwe zastosowanie. Przez błędną wykładnię należy rozumieć niewłaściwe zrekonstruowanie treści normy prawnej wynikającej z konkretnego przepisu, natomiast przez niewłaściwe zastosowanie - dokonanie wadliwej subsumcji przepisu do ustalonego stanu faktycznego. Również druga podstawa kasacyjna wymieniona w art. 174 pkt 2 p.p.s.a. – naruszenie przepisów postępowania – może przejawiać się w tych samych postaciach, co naruszenie prawa materialnego, przy czym w wypadku oparcia skargi kasacyjnej na tej podstawie skarżący powinien nadto wykazać istotny wpływ wytkniętego uchybienia na wynik sprawy.

Na wstępie stwierdzić należy, że nieuzasadniony jest zarzut naruszenia art. 141 § 4 p.p.s.a., który określa elementy, jakie powinno zawierać uzasadnienie wyroku i ma charakter formalny. O naruszeniu tego przepisu można mówić w przypadku, gdy uzasadnienie wyroku nie spełnia określonych w nim warunków. W orzecznictwie przyjmuje się, że art. 141 § 4 p.p.s.a. może stanowić samodzielną podstawę kasacyjną wówczas, gdy uzasadnienie wyroku nie zawiera stanowiska co do stanu faktycznego przyjętego za podstawę rozstrzygnięcia (por. uchwała składu siedmiu sędziów NSA z dnia 15 lutego 2010 r. sygn. akt II FPS 9/09 ONSAiWSA 2010/3/39) bądź uniemożliwia dokonanie przez Naczelny Sąd Administracyjny kontroli instancyjnej zaskarżonego wyroku (por. wyroki NSA z dnia: 28 września 2010 r., sygn. akt I OSK 1605/09; 13 października 2010 r., sygn. akt II FSK 1479/09). Co więcej Sąd ma obowiązek zwięzłego przedstawienia stanu sprawy, co obejmuje nie tylko przytoczenie ustaleń dokonanych przez organ administracji publicznej, ale także ich ocenę pod względem zgodności z prawem. W niniejszej sprawie uzasadnienie zaskarżonego wyroku spełnia wymogi określone w art. 141 § 4 p.p.s.a. Przedstawiono w nim stan faktyczny sprawy, podano zarzuty sformułowane w skardze, stanowisko organu oraz wskazano podstawę prawną rozstrzygnięcia i jej wyjaśnienie. Analiza uzasadnienia zaskarżonego wyroku pozwala zatem na prześledzenie toku rozumowania Wojewódzkiego Sądu Administracyjnego w Warszawie i poznanie motywów, jakimi kierował się podejmując rozstrzygnięcie w sprawie. Podkreślenia wymaga, iż za pomocą zarzutu naruszenia art. 141 § 4 p.p.s.a nie można skutecznie zwalczać prawidłowości przyjętego przez sąd stanu faktycznego, czy też stanowiska co do wykładni bądź zastosowania prawa materialnego, czy procesowego. Fakt reprezentowania odmiennego poglądu prawnego przez skarżącego kasacyjnie, nie oznacza wadliwości uzasadnienia zaskarżonego wyroku. W uzasadnieniu wyroku Sądu pierwszej instancji został szczegółowo przedstawiony stan faktyczny sprawy ustalony przez organ, a skoro Sąd nie zakwestionował powyższych ustaleń, oznacza to że ocenił je jako właściwe i przyjął za własne. Nie jest zatem również uzasadniony zarzut naruszenia art. 106 § 3 p.p.s.a. oraz art. 113 § 1 p.p.s.a.

W odniesieniu do zarzutów naruszenia prawa materialnego w pierwszej kolejności należy odnieść się do zarzutu naruszenia art. 2 ust. 2 lit. a rozporządzenia 2016/679 w zw. z art. 42 ust. 1 Konstytucji. Naczelny Sąd Administracyjny podziela stanowisko Sądu pierwszej instancji, iż wykładnia powyższego przepisu musi być dokonywana z uwzględnieniem wykładni systemowej i celowościowej. Zgodnie z powołanym przepisem niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii. Powyższe wyłączenie ma charakter wyjątkowy i nie znajduje zastosowania w niniejszej sprawie. Intencją ustawodawcy nie było zawężenie zakresu ochrony danych osobowych, lecz wręcz przeciwnie - zwiększenie zakresu jej stosowania. Należy mieć także na uwadze art. 6 rozporządzenia, który konkretyzuje wyłączenia stosowania jego przepisów. Prawo do ochrony danych osobowych jest prawem podstawowym, którego ochronę gwarantuje prawo pierwotne Unii Europejskiej - Karta Praw Podstawowych UE oraz Traktat o funkcjonowaniu Unii Europejskiej (dalej: TFUE). Zgodnie z art. 8 ust. 1 Karty Praw Podstawowych UE każdy ma prawo do ochrony danych osobowych, które go dotyczą. Powyższe prawo zostało zagwarantowane także w oparciu o art. 16 ust. 1 TFUE. Do powyższych praw podstawowych odwołuje się rozporządzenie 2016/679 w pierwszym motywie – "ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej "Kartą praw podstawowych") oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących". Zgodnie z motywem drugim "Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą - niezależnie od obywatelstwa czy miejsca zamieszkania takich osób - naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych. Niniejsze rozporządzenie ma na celu przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi".

Wyłączenie stosowania rozporządzenia 2016/679, określone w art. 2 ust. 2 lit. a, jakim jest przetwarzanie danych osobowych w ramach działalności nieobjętej zakresem prawa UE dotyczy szeroko pojętych działań odnoszących się do bezpieczeństwa narodowego. Wyłączenie stosowania przepisów o ochronie danych osobowych (ustawy o ochronie danych osobowych z 10 maja 2018 r. Dz.U. z 2019 r., poz. 1781 i rozporządzenia 2016/679), odnoszące się do bezpieczeństwa narodowego, przewidziane zostało również w art. 6 powołanej wyżej ustawy o ochronie danych osobowych. Dotyczy ono: 1) przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 i 1622), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą oraz 2) działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2018 r. poz. 2387, 2245 i 2399 oraz z 2019 r. poz. 53, 125 i 1091). Tego rodzaju wyłączenia nie mają miejsca w niniejszej sprawie. Rozważany zarzut skargi kasacyjnej należy uznać za nieuzasadniony.

W odniesieniu do zarzutu sformułowanego w punkcie 2. skargi kasacyjnej należy podnieść, że wbrew stanowisku strony skarżącej kasacyjnie Burmistrz niewątpliwie jest administratorem danych osobowych. Zgodnie z art. 9 ust. 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej podmioty, o których mowa w art. 4 ust. 1 i 2 tej ustawy, przez zastosowanie systemu, o którym mowa w ust. 4a, albo innego systemu teleinformatycznego, tworzą własne strony Biuletynu Informacji Publicznej, na których udostępniają informacje podlegające udostępnieniu w tej drodze. W pojęciu organów władzy publicznej, o których mowa w art. 4 ust. 1 pkt 1 u.d.i.p. niewątpliwie mieszczą się organy jednostek samorządu terytorialnego. Tym samym na skarżącym kasacyjnie spoczywały obowiązki administratora danych osobowych, co przesądza o niezasadności zarzutów naruszenia art. 4 pkt 7 rozporządzenia 2016/679 w zw. z art. 5, 24, 28 ust. 3, 30 i 83 tego rozporządzenia w zw. z art. 133 p.p.s.a.

Nie jest także zasadny zarzut naruszenia art. 83 ust. 1 i 2 rozporządzenia 2016/679 w zw. z art. 102 ust. 1 pkt 1 (błędnie określony w skardze kasacyjnej jako jako lit. 1) ustawy z 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 102 ust. 1 pkt 1 u.o.d.o. Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Zgodnie z ust. 3 powołanego przepisu administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679. W uzasadnieniu decyzji (s. 16) organ wskazał przyczyny determinujące wysokość kary pieniężnej, a Sąd odwołał się do tych okoliczności na s. 14 uzasadnienia wyroku. Do wymiaru kary niewątpliwie należy stosować dyrektywy ujęte w art. 83 rozporządzenia 2016/679. Sąd pierwszej instancji - przytaczając za organem powody przesądzające o wysokości kary pieniężnej - uznał je za wystarczające uzasadnienie wysokości nałożonej kary. Należy również podkreślić, że z uzasadnienia decyzji wynika, że kara została nałożona z uwagi na oba - powiązane ze sobą naruszenia - dotyczące art. 30 ust. 1 lit d i f rozporządzenia 2016/679.

Zgodnie z art. 30 ust. 1 lit d rozporządzenia 2016/768 każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się w szczególności informacje obejmujące kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych. Zarzut naruszenia powyższego przepisu nie jest uzasadniony. W rejestrze nie zamieszczono żadnej informacji, która mieściłaby się w ramach powyższej regulacji.

Nie jest zasadny zarzut naruszenia art. 30 ust. 1 lit. f rozporządzenia 2016/679, gdyż został niewłaściwie skonstruowany - jako zarzut naruszenia prawa materialnego, podczas gdy z jego uzasadnienia wynika, że skarżący kasacyjnie kwestionuje okoliczność faktyczną polegającą na niewskazaniu w rejestrze czynności przetwarzania planowanych terminów usunięcia danych zawartych w oświadczeniach majątkowych.

Wbrew zarzutowi skargi kasacyjnej Sąd pierwszej instancji odniósł się także do kwestii naruszenia art. 5 ust. 1 lit. e w zw. z art. 24 rozporządzenia 2016/679 (s. 20 uzasadnienia wyroku), zatem i ten zarzut skargi kasacyjnej nie jest uzasadniony. Trzeba podnieść, że skarżący kasacyjnie nie zakwestionował skutecznie ustaleń stanu faktycznego sprawy w zakresie okoliczności przesądzających o stwierdzonych w decyzji Prezesa UODO naruszeniach. W tym zakresie Naczelny Sąd Administracyjny przyjął zatem ustalenia Sądu pierwszej instancji za własne. Natomiast ocena ustalonego w sprawie stanu faktycznego, dokonana przez Naczelny Sąd Administracyjny wskazuje, że w sprawie znalazły zastosowanie właściwe przepisy prawa materialnego, a Sąd pierwszej instancji nie popełnił błędów na etapie ich wykładni i stosowania zarzucanych w skardze kasacyjnej.

Mając powyższe na uwadze, w oparciu o art. 184 p.p.s.a., Naczelny Sąd Administracyjny skargę kasacyjną oddalił.

O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 p.p.s.a.